《产业大脑工业APP安全基本要求》.docx

浙江省信息产业质量协会发布

ICS91.140.90

C73

团体标准

XXXXX—XXXX

产业大脑工业APP安全基本要求

IndustrialbrainIndustrialAPPsecuritybasicrequirements

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

××××-××-××发布××××-××-××实施

1

产业大脑工业APP安全基本要求

1范围

本标准规定了工业APP安全防护与安全保障的技术要求和管理要求。本标准适用于工业APP上线产业大脑时的安全性评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1产业大脑Industrialbrain

产业大脑是以工业互联网为支撑，以数据资源为核心，运用新一代信息技术，综合集成产业链、供应链、资金链、创新链，融合企业侧和政府侧，贯通生产端和消费端，为企业生产经营提供数字化赋能，为产业生态建设提供数字化服务，为经济治理提供数字化手段，是着力推动相关产业质量变革、效率变革、动力变革的集成开放赋能平台。

3.2工业APPIndustrialApplication

工业APP是基于松耦合、组件化、可重构、可重用思想，面向特定工业场景，解决具体的工业问题，基于平台的技术引擎、资源、模型和业务组件，将工业机理、技术、知识、算法与最佳工程实践按照系统化组织、模型化表达、可视化交互、场景化应用、生态化演进原则而形成的应用程序，是工业软件发展的一种新形态。

4缩略语

下列缩略语适用于本文件：

APP应用软件（APPlication）

5概述

产业大脑工业APP属于产业大脑总体架构中的数字经济应用部分。本标准从信息安全方面规范了上线产业大脑的工业APP的安全基本要求，包括技术要求和管理要求。技术要求包

2

括程序保护要求、身份认证要求、口令安全机制要求、访问控制要求、安全审计要求、数据安全要求、安装要求、卸载要求和升级要求，管理要求包括资质要求和上架要求。

6技术要求

6.1程序保护要求

a)工业APP应不存在已公布的高风险安全漏洞,例如跨站脚本漏洞、注入类漏洞、文件上传漏洞、逻辑漏洞、反序列化漏洞、安全配置错误、不安全的第三方组件等。

6.2身份认证要求

a)工业APP应提供专用的登录控制模块对登录用户进行身份标识和鉴别，用户身份标识唯一，登录控制模块具有鉴别信息长度、复杂度检查、登录失败处理功能；

b)工业APP用户身份认证应具备认证超时功能，当空闲时间超过设定时间应自动终止认证过程并进行重新认证；

c)工业APP重要参数修改、配置下发等操作前应进行身份鉴别。

6.3口令安全机制要求

a)在使用过程中不应以明文形式显示和存储；

b)修改或找回口令时，应具备验证机制，如短信验证、邮箱验证等。

6.4访问控制要求

a)用户访问的内容不应超出授权的范围（如管理后台向低权限用户开放）；

b)应限制工业APP用户账户的多重并发会话；

c)应支持用户权限分配和互斥机制。

6.5安全审计要求

a)工业APP应具有安全审计功能，审计覆盖工业APP中所有用户，对重要的用户行为和重要安全事件进行审计；

b)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等，日志保存时间不少于六个月；

c)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息，具有良好可读性。

6.6数据安全要求

6.6.1数据采集要求

a)未向用户明示并经用户同意，工业APP不得收集用户工业数据,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等与服务无关的功能，不得捆绑安装应用无关的应用程序；

b)应采用数据校验机制，对采集数据的完整性进行验证。

6.6.2数据传输安全要求

3

a)应采取技术手段保证重要数据在传输过程中的必威体育官网网址性；

b)应采用技术手段保证重要数据在传输过程中的完整性。

6.6.3数据存储安全要求

a)应支持对重要数据的存储完整性校验；

b)应对服务器中所存储的重要数据进行加密，对重要数据加密应当使用未曝出安全隐患的加密算法或采用符合国家